Talos の『一年の総括』2022 年版で明らかになったように、ランサムウェア集団は絶えず名前を変えたり、他のグループと合併したりしています。同時期に複数の RaaS(Ransomware as a Service)組織で活動することもあり、常に新しいグループが登場しています。
今年もすでにこの傾向が見られます。2021 年以降、ランサムウェアのソースコードとビルダーが何度も流出しました。これらは、ランサムウェアの作成と改造に不可欠なコンポーネントです。コードとビルダーの流出は脅威の情勢に大きな影響を与えました。高度な攻撃能力を備えていないグループでも、労力や知識をほぼ必要とせずに、独自のランサムウェアを簡単に作成できるようになったのです。この領域に参入する攻撃グループが増えるにつれ、ランサムウェア亜種の出現数が多くなっています。これが攻撃頻度の増加につながっていて、特に攻撃グループの特定に関して、新たな課題をサイバーセキュリティ専門家に突きつけています。
コードの流出が攻撃者の利益に
2021 年 9 月以降、Babuk、Conti、LockBit 3.0、Chaos といった有名なランサムウェアファミリのソースコードとビルダーを公開する攻撃者が現れるようになりました。LockBit 3.0 のランサムウェアビルダーのように、流出が意図的だったケースもあります。上位グループの方針に不満を抱いたアフィリエイトが、抗議の意を示すためにツールとコードを投稿したという事例でした。他にも Babuk ソースコードのように、操作ミスによる流出と思われる事例もあります。原因が何であれ、こうした流出は脅威の情勢に大きな影響を及ぼしています。新参者でもスキルのない攻撃グループでも、たいした労力や知識を必要することなく、独自のランサムウェア亜種を簡単に開発できるようになっているのです。
ランサムウェアのソースコードは悪意のあるプログラムであり、ランサムウェアの動作を定義する命令とアルゴリズムが記述されています。通常、ソースコードは複雑で、作成するには往々にして熟練の技術者が必要ですが、ソースコードを入手することで、最低限のプログラミング知識さえあれば、コードを改変して独自のランサムウェア亜種をコンパイルできるようになります。
通常のランサムウェアビルダーにはユーザーインターフェイスが備わっており、ユーザーは基本的な機能を選択し、設定をカスタマイズして新しいランサムウェアのバイナリ実行ファイルを作成できます。ソースコードが公開されることも、コンパイラのインストールが必要になることもありません。ランサムウェアビルダーを入手すれば、新参者の攻撃グループでも独自にカスタマイズ版のランサムウェア亜種を作成できるのです。以下は、流出した Chaos ランサムウェアビルダー V5 の例です。
ランサムウェアのソースコードやビルダーが流出すると、技術力のない野心的なサイバー犯罪者が、元のコードにわずかな改変を加えるだけで独自のランサムウェア亜種を簡単に開発できるようになります。さらに、流出したソースコードを使用して調査担当者を混乱させたり、判断を誤らせたりすることもできます。セキュリティの専門家が他の攻撃グループの犯行だと誤って特定する可能性が高くなるからです。
流出したコードから作成された新たな亜種が一般的に
2023 年に入ってからもさまざまな攻撃が確認されており、攻撃者は流出したソースコードやビルダーを用いて作成した新たなランサムウェア亜種を攻撃に使用しています。Talos は今年初め、MortalKombat という新しいランサムウェアファミリを発見しました。このランサムウェアは、流出した Xorist ランサムウェアビルダーで作成されていました。Xorist ランサムウェアは RaaS モデルで提供されており、アンダーグラウンド フォーラムで入手可能な「Encoder Builder v.24」というビルダーがあります。Talos はリサーチに基づき、2022 年 12 月以降に個人や中小企業を標的として MortalKombat ランサムウェアによる攻撃を行っていた正体不明の攻撃者を発見しました。多段階の攻撃チェーンからなるこの攻撃は、CoinPayments(暗号通貨決済処理代行を行っている合法的なグローバル企業)になりすまして被害者に配信されるフィッシングメールから始まります。
4 月、Talos は RA Group という新たなランサムウェア攻撃グループを発見しました。同グループは流出した Babuk のソースコードを基に作成したランサムウェア亜種を使用して二重恐喝攻撃を仕掛けます。Babuk は 2021 年に登場したロシアのランサムウェアグループであり、政府、医療、物流、専門サービスなどさまざまな業界を標的にした一連の有名なランサムウェア攻撃の実行犯です。2021 年 9 月、Babuk グループのメンバーとされる人物がランサムウェアのソースコードをすべて流出させて以来、Babuk の流出コードを基に数種類の亜種が新たに作成されています。2023 年には RA Group に加え、ESXiArgs、Rorschach、RTM Locker など多くの亜種が登場しました。RA Group が現在行っている攻撃の標的は米国、韓国、台湾、英国、インドです。製造業、資産管理、保険会社、製薬会社、財務管理コンサルティング会社といった複数の業種がターゲットとなっています。
直近では、Yashma ランサムウェアビルダーで作成された新種のランサムウェアが急増しているのを確認しました。2022 年 5 月に初めて登場した Yashma ランサムウェアビルダーは、2022 年 4 月に流出した Chaos ランサムウェアビルダー V5 を改名したものです。Talos は 2023 年に入ってから、ANXZ、Sirattacker、Shadow Men Team など Yashma の新しい亜種をいくつか確認しています。Shadow Men Team という名前は、身代金要求メッセージに記載されている同グループのヒンディー語名を翻訳したものです。ランサムウェア分野では新しい攻撃グループのようで、クウェートを標的にしていると思われます。身代金要求メッセージで、クウェートディナールでの支払いを要求(その額をビットコインの米ドル相当額に換算)していることがその根拠です。
他にも新たな攻撃グループを発見しています。ベトナム発祥と思われるグループで、Yashma ランサムウェアの亜種を使用して、ブルガリア、中国、ベトナムなどを標的に攻撃を行っています。遅くとも 2023 年 6 月には攻撃を開始しており、身代金要求メッセージの内容は、2017 年の世界的な WannaCry 攻撃で使用された身代金要求メッセージを模倣したものだと思われます。
流出コードを再利用する攻撃者が要求するのは低額の身代金
流出したコードとビルダーを利用するサイバー犯罪者が要求する身代金の額は比較的保守的に見えます。これは、攻撃者が一匹狼で新しい亜種をテストするために慎重に行動しているか、この領域では新参者である可能性を示唆しています。Sirattacker、Chaos 2.0、Chaos 4.0、DCrypt、Shadow Men Team など数々の新しいランサムウェア亜種の背後にいる攻撃グループはビットコインでの支払いを被害者に要求していますが、身代金の額は 3.5 米ドル~ 4,390 米ドルです。これは、多くの有名なランサムウェア集団が要求する金額よりもかなり低額です。たとえば RYUK、Babuk、REvil、Conti、DarkSide、BlackMatter、BlackCat、Yanluowang といったグループが通常要求する身代金は数百万ドルです。収益性の高いグループは RaaS モデルで運営されることが普通であり、アフィリエイトには身代金の額を独自に設定する自由があります(往々にして高額です)。また攻撃実行犯や開発者に報酬を支払う仕組みになっているため、攻撃の過程で要求額がつり上がっていきます。
以下は、流出したコードやビルダーを利用する攻撃グループと、有名なランサムウェア集団との身代金要求額の比較です。
セキュリティ研究者と防御システムにとってのチャンス
脅威環境の変化は攻撃者に大きなメリットをもたらしてきましたが、その一方で、セキュリティ研究者と防御システムにも、流出したコードを入手できるという利点があります。セキュリティ研究者は、ソースコードの分析によって攻撃者の戦術、手法、手順(TTP)を理解することができます。この情報は、セキュリティの専門家が効果的な検出ルールを開発し、ランサムウェアの脅威に対抗するためのセキュリティ製品の機能を強化するうえで役立ちます。
研究者がソースコードを分析することでさまざまな攻撃者が使用する類似のパターンと手法が特定されるため、攻撃の初期段階で新しい亜種をプロアクティブに検出し、ブロックする機能を防御システムに搭載できます。またセキュリティ研究者は、流出コードから得られたインテリジェンス情報を広範なセキュリティコミュニティと共有することによってサイバーセキュリティ業界の強化にも貢献することができます。流出したソースコードの TTP がわかれば、現在の環境における既存のセキュリティ上の弱点を特定して軽減し、攻撃ベクトルに対するセキュリティ防御を強化するのに役立つ貴重なインサイトが得られます。
本稿は 2023 年 08 月 07 日に Talos Group のブログに投稿された「Code leaks are causing an influx of new ransomware actors」の抄訳です。